Sie haben Fragen?

+49 6321 48446-0
|
info@8com.de
|
KARRIERE
|
EN
Managed Security Services
Security Operations Center
as a ServiceSIEMIncident ResponseIT-Forensik
Vulnerability Management
as a ServiceContinuous MonitoringThreat-ProtectionIndication of Compromise
Web Application Security
as a ServiceWeb App Penetration TestingWeb App Vulnerability Management
Cloud & Container Security
as a Service
IT Policy Compliance
as a Service
Security Awareness
Awareness-Kampagnen
as a ServiceStrategie-WorkshopLive-Hacking-Vorträge
Awareness-PortalVorträge & Live-Hacking
Penetration TestingIT-Notfall-Soforthilfe

Java-basierte Ransomware bedroht Linux- und Windows-Systeme

10. Juni 2020

Eine neue Ransomware bedroht sowohl Windows- als auch Linux-Rechner. Die kriminellen Hintermänner verfolgen dabei offenbar eine gezielte Strategie bei der Auswahl der Opfer, denn es sind insbesondere Bildungseinrichtungen und die Softwareindustrie betroffen. Das berichten Sicherheitsforscher von BlackBerry in Zusammenarbeit mit Sicherheitsanalysten von KPMG. Das besondere an der Malware namens Tycoon ist seine Bereitstellung als trojanisierte Java Runtime Environment. Seine bösen Absichten verbirgt das Programm dabei hinter einer Java-Image-Datei.

Die Entdecker von Tycoon betonen, dass Java nur äußerst selten bei der Kodierung einer Endpunkt-Malware zum Einsatz komme, denn die Java-Laufzeitumgebung muss den Code immerhin auch ausführen. Auch die Verwendung einer Bilddatei ist äußerst ungewöhnlich. Hintergrund könne laut BlackBerry sein, dass Angreifer bei der Nutzung ungewöhnlicher Datenformate ihren Code nicht verschleiern müssten, um das gewünschte Ergebnis zu erreichen.

Weniger außergewöhnlich ist die erste Phase des Angriffs: Eingeschleust wird die Ransomware über unsichere Remote Desktop Protocol (RDP) Server, also Server, die den Fernzugriff auf Rechner ermöglichen. Dieser Angriffsvektor ist bereits seit längerem bekannt und kommt häufig zum Einsatz, da unsichere, schwache oder kompromittierte Kennwörter den Angriff erleichtern. Danach verwenden die Angreifer die IFEO-Einstellungen (Image File Execution Options), mit denen Entwickler normalerweise Software debuggen können. Darüber hinaus werden Berechtigungen eingesetzt, um Anti-Malware-Software mithilfe von ProcessHacker zu deaktivieren. Dadurch entgeht Tycoon der Entdeckung und Entfernung durch die Schutzsoftware. Danach verschlüsselt die Malware das Netzwerk, wobei Dateierweiterungen wie .redrum, .grinch oder .thanos zum Einsatz kommen und die Lösegeldforderung in Form von Bitcoin geht an die Opfer. Der Preis hängt soll davon abhängen, wie schnell das Opfer darauf reagiert.

Die Entdecker von Tycoon weisen außerdem darauf hin, dass Ähnlichkeiten in den verwendeten E-Mail-Adressen, den Namen der verschlüsselten Dateien und im Text der Lösegeldforderung auf eine Verbindung zu einer Ransomware namens Dharma, auch als Crysis bekannt, hindeuten.

Zum Schutz vor derartigen Angriffen empfiehlt es sich, den Zugang zum Internet in Netzwerken auf ein absolut notwendiges Minimum zu reduzieren. Darüber hinaus sollten sichere und starke Passwörter zum Einsatz kommen, die regelmäßig geändert werden. Die Installation von Sicherheitsupdates versteht sich eigentlich in diesem Zusammenhang von selbst. Sollte es dennoch zu einer Infektion mit Ransomware kommen, helfen Sicherungskopien auf vollständig unabhängigen Speichern dabei, die Daten wiederherzustellen, ohne auf die Forderungen der Kriminellen einzugehen.

Bild (c) Clker-Free-Vector-Images / Pixabay

Zurück zur Blog-übersicht
Security Services
Managed Security Services
SOC as a Service
Vulnerabilty Management as a Service
Penetration Testing
Security Awareness
Was uns ausmacht
Cyber Defense Center
Unsere Strategie
Über uns
Kontakt & mehr
Kontakt
Karriere
Pressebereich
Blog
Rechtliches
Datenschutzerklärung
Impressum
AGB
Webpräsenz der Allianz für Cyber-Sicherheit